by 安全扫描
OpenClaw
可疑
high confidence该技能通过转发用户提供的微信文章URL到第三方抓取API(down.mptext.top)来获取文章内容,虽然与技能目的相符,但存在未披露的隐私/数据外泄和信任风险。
评估建议
该技能将用户提供的微信文章URL转发到第三方抓取服务(down.mptext.top),返回抓取的文本。安装前,请考虑:(1)隐私:外部服务将接收完整URL和抓取内容,可能暴露私有文章或URL令牌。(2)信任:服务的所有权和数据处理实践不明(无主页/源码)。(3)可用性和正确性:抓取内容、图像和格式可能不可靠。如果需要此功能,建议优先选择透明的替代方案:自托管抓取器、要求用户明确同意发送链接,或者从技能作者处获取源码和隐私政策。建议避免使用该技能处理敏感或私有链接,直到您可以验证第三方服务的可信度。...详细分析 ▾
ℹ 用途与能力
技能的声明目的(抓取微信文章并转换为可读文本)与SKILL.md指令匹配。然而,指令完全依赖第三方HTTP API(down.mptext.top),而不是直接从源获取;此依赖在元数据或描述中未声明。
⚠ 指令范围
运行时指令告诉代理将用户提供的mp.weixin.qq.com链接URL编码并调用https://down.mptext.top/api/public/v1/download?...。这将整个用户提供的URL(以及因此全文内容或任何URL嵌入的令牌)转发到外部服务,创建明显的数据外泄和隐私风险。指令还会在消息包含mp.weixin.qq.com链接时自动触发,因此可以在没有用户明确同意的情况下进行转发。
✓ 安装机制
无安装规范或代码存在(仅指令技能),因此没有写入磁盘,且无包安装风险。
ℹ 凭证需求
技能不请求环境变量或凭证(合理)。然而,它隐式地要求访问第三方域(down.mptext.top),该域未列在元数据中;此外部依赖即使没有请求秘密,也具有隐私和信任含义。
✓ 持久化与权限
always 为 false,技能可由用户调用并可以自主调用(默认)。它不请求持久权限或修改系统/代理配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/19
初始版本:支持抓取微信公众号文章内容,无需API密钥
● 可疑
安装命令 点击复制
官方npx clawhub@latest install wechat-article-fetcher
镜像加速npx clawhub@latest install wechat-article-fetcher --registry https://cn.clawhub-mirror.com
技能文档
触发条件
用户消息中包含mp.weixin.qq.com 链接时,自动使用此技能抓取文章内容。
使用方法
curl -s "https://down.mptext.top/api/public/v1/download?url=&format=markdown"
参数
| 参数 | 说明 |
|---|---|
| url | 文章链接(需URL编码) |
| format | 输出格式:html / markdown / text / json(默认html) |
- 从用户消息中提取微信文章链接
- 对链接进行 URL 编码
- 调用接口抓取内容(推荐 markdown 格式)
- 提取正文,去除 CSS、导航等噪音
- 为用户生成文章摘要或回答用户关于文章的问题
注意事项
- 此接口无需 API 密钥
- 部分文章可能有字数限制或反爬处理
- 图片链接可能有时效性
- 如抓取失败,可尝试换 format 为 text
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制